Confluence CVE-2023-22515漏洞复现

前言

菜的一批的自己正在尝试做HTB

正文

题目：

开局nmap

打开80，apache默认页面

Gobuster跑目录

/artwork目录啥也没有，纯静态玩意。我还找到了那套前端源码

/music目录也是套前端的，但是点击login会跳到opennetadmin

OpenNetAdmin

发现右上角有个登录,弱口令登录上去看看

观察了好一会没啥地方可以搞，Google搜了一下这玩意

searchsploit搜了一下exp，通过版本发现一个RCE

exp复制到当前目录

searchsploit -m 47691

参数就一个URL，不知道填啥

直接填OpenNetAdmin的路径上去不对头

找来msf的exp看了看，发现路径是/login.php

成功利用RCE

先找当前数据库凭证

尝试mysql连接，发现拒绝外连

查询一下home目录，发现两个用户

拿mysql的密码用hydra去搞他

果然有搞头，登录上去康康

没user.txt，草

只能去搞那个用户了，寻找属于当前用户的文件

find / -user jimmy

喔直接就读取另外个用户的ssh密钥了

直接运行告诉我们权限不够，还有一段提示

WTF？忍者

你要的忍者

继续看index.php

在最后几行发现个判断，不过有个锤子用。main.php的判断白给系列

根据第RCE拿到shell的时候，查看当前路径给的是

/var/www/ona

那么这个是不是另外个站点呢？为此我查看了apache.conf

根目录为/var/www/，但是另外一个目录访问404。那么就是多站点无疑了

参考链接：Ubuntu环境下利用Apache2部署多个站点_Jochen的博客-CSDN博客

进入到sites-available文件夹里看了看，发现两个配置文件。openadmin.conf对应OpenNetAdmin，那么另外一个是

可以看到指向的web目录是

/var/www/internal

端口是52846，只允许127.0.0.1访问。那么尝试

curl http://127.0.0.1:52846/main.php

拿到id_rsa，保存到本地。尝试连接

chmod 600 id_rsa
ssh -i id_rsa joanna@10.10.10.171

草尼玛，还要密码，畜生

转换成john可以爆破的格式，用john爆破

python /usr/share/john/ssh2john.py sshid_rsa > ssh.txt
john --wordlist=/usr/share/wordlists/rockyou.txt

最后得到的密码是bloodninjas

登录拿user.txt

sudo -l康康有啥能提权的

打开nano，Ctrl+R读取root.txt，嫖key

---

转载请注明来源，欢迎对文章中的引用来源进行考证，欢迎指出任何有错误或不够清晰的表达。